An rubuta wannan labarin ne a kan babban nasarar da ƙwararrun ƙungiyar-IB suka gudanar shekaru biyu da suka gabata: labari ya faru wanda za a iya daidaita shi don fim a Bollywood. Yanzu, mai yiwuwa, martanin mai karatu zai biyo baya: "Oh, wani labarin PR, kuma ana nuna waɗannan, yadda suke da kyau, kar a manta da siyan pentest." To, a gefe guda, haka yake. Koyaya, akwai wasu dalilai da yawa da ya sa wannan labarin ya bayyana. Ina so in nuna abin da ainihin pentesters ke yi, yadda mai ban sha'awa da maras muhimmanci wannan aikin zai iya zama, abin da yanayi mai ban dariya zai iya tashi a cikin ayyukan, kuma mafi mahimmanci, nuna kayan rayuwa tare da misalai na gaske.
Don mayar da ma'auni na ladabi a cikin duniya, bayan wani lokaci za mu rubuta game da pentest wanda bai yi kyau ba. Za mu nuna yadda tsarin da aka tsara da kyau a cikin kamfani zai iya kare kariya daga dukkanin hare-haren, har ma da shirye-shiryen da aka shirya, kawai saboda waɗannan matakai sun wanzu kuma suna aiki.
Ga abokin ciniki a cikin wannan labarin, duk abin da ya kasance mai kyau gabaɗaya, aƙalla mafi kyau fiye da 95% na kasuwa a cikin Tarayyar Rasha, bisa ga ji, amma akwai wasu ƙananan nuances waɗanda suka kafa jerin abubuwan da suka faru, wanda na farko. ya kai ga wani dogon rahoto kan aikin , sannan ga wannan labarin.
Don haka, bari mu samar da popcorn, da maraba da labarin bincike. Kalma - Pavel Suprunyuk, Manajan fasaha na sashen "Audit and Consulting" na Rukunin-IB.
Part 1. Pochkin likita
2018 Akwai abokin ciniki - babban kamfani IT, wanda kanta ke hidima ga abokan ciniki da yawa. Yana son samun amsar tambayar: shin zai yiwu, ba tare da wani ilimin farko da samun dama ba, yin aiki ta Intanet, don samun haƙƙin mai gudanarwa na yankin Active Directory? Ba ni da sha'awar kowane injiniyan zamantakewa (), ba sa nufin su tsoma baki tare da aikin da gangan, amma suna iya bazata - sake shigar da sabar mai aiki mai ban mamaki, alal misali. Ƙarin makasudin shine a gano yawancin nau'ikan hare-hare kamar yadda zai yiwu a kan kewayen waje. Kamfanin na gudanar da irin wadannan gwaje-gwaje akai-akai, kuma yanzu wa'adin sabon gwajin ya zo. Sharuɗɗan kusan na al'ada ne, isasshe, ana iya fahimta. Mu fara.
Akwai sunan abokin ciniki - bari ya zama "Kamfani", tare da babban gidan yanar gizon . Tabbas, ana kiran abokin ciniki daban, amma a cikin wannan labarin duk abin da zai zama mara kyau.
Ina gudanar da bincike na cibiyar sadarwa - gano waɗanne adireshi da wuraren rajista tare da abokin ciniki, zana zane na cibiyar sadarwa, yadda ake rarraba sabis zuwa waɗannan adiresoshin. Ina samun sakamakon: fiye da adiresoshin IP na rayuwa sama da 4000. Ina kallon wuraren da ke cikin waɗannan cibiyoyin sadarwa: an yi sa'a, yawancin cibiyoyin sadarwar da aka yi niyya don abokan cinikin abokin ciniki, kuma ba mu da sha'awar su. Abokin ciniki yana tunanin haka.
Akwai sauran hanyar sadarwa guda ɗaya tare da adiresoshin 256, wanda a wannan lokacin an riga an sami fahimtar rarraba yankuna da yanki ta adiresoshin IP, akwai bayanai game da tashoshin jiragen ruwa da aka bincika, wanda ke nufin zaku iya duba ayyukan don masu ban sha'awa. A layi daya, ana ƙaddamar da kowane nau'in na'urar daukar hotan takardu akan adiresoshin IP da aka samu kuma daban akan gidajen yanar gizo.
Akwai ayyuka da yawa. Yawancin lokaci wannan abin farin ciki ne ga pentester da kuma tsammanin samun nasara mai sauri, tun da yawancin ayyuka da ake samu, mafi girma filin don kai hari kuma mafi sauƙi shine samun kayan tarihi. Duba da sauri a gidajen yanar gizon ya nuna cewa galibinsu shafukan yanar gizo ne na sanannun samfuran manyan kamfanoni na duniya, wanda a dukkan alamu ke nuna cewa ba a maraba da su. Suna neman sunan mai amfani da kalmar sirri, suna girgiza filin don shigar da abubuwa na biyu, suna neman takaddun abokin ciniki na TLS, ko aika zuwa Microsoft ADFS. Wasu ba sa iya samun damar Intanet kawai. Ga wasu, tabbas kuna buƙatar samun abokin ciniki na musamman da ake biya don albashi uku ko ku san ainihin URL ɗin da za ku shiga. Bari mu tsallake wani mako na rashin jin daɗi a hankali a cikin ƙoƙarin “karye ta hanyar” nau'ikan software don sanannun raunin da ya faru, neman ɓoyayyun abubuwan da ke cikin hanyoyin yanar gizo da bayanan leaked daga sabis na ɓangare na uku kamar LinkedIn, ƙoƙarin tantance kalmomin shiga ta amfani da su, haka kuma. kamar yadda ake tono lahani a cikin gidajen yanar gizon da aka rubuta - ta hanya, bisa ga kididdigar, wannan shine mafi girman tasirin harin waje a yau. Nan da nan zan lura da bindigar fim ɗin da ta harba daga baya.
Don haka, mun sami shafuka biyu waɗanda suka fice daga ɗaruruwan ayyuka. Waɗannan rukunin yanar gizon suna da abu ɗaya gama gari: idan ba ku shiga cikin aikin bincike na cibiyar sadarwa ta yanki ba, amma duba gaba don buɗe tashoshin jiragen ruwa ko manufa na'urar daukar hotan takardu ta rashin lafiya ta amfani da sanannen kewayon IP, to waɗannan rukunin yanar gizon za su tsere daga binciken kuma kawai ba za su kasance ba. bayyane ba tare da sanin sunan DNS ba. Wataƙila an rasa su a baya, aƙalla, kuma kayan aikinmu na atomatik ba su sami matsala tare da su ba, ko da an aika su kai tsaye zuwa albarkatun.
Af, game da abin da aka kaddamar a baya Scanners samu a general. Bari in tunatar da ku: ga wasu mutane, "pentest" daidai yake da "Scan na atomatik". Amma na'urorin daukar hoto a kan wannan aikin ba su ce komai ba. Da kyau, matsakaicin matsakaici ya nuna ta Matsakaici raunin (3 cikin 5 dangane da tsananin): akan wasu sabis munanan takardar shaidar TLS ko ɓoyayyen algorithms, kuma akan yawancin rukunin yanar gizo Clickjacking. Amma wannan ba zai kai ku ga burin ku ba. Wataƙila na'urar daukar hotan takardu za su fi amfani a nan, amma bari in tunatar da ku: abokin ciniki da kansa yana iya siyan irin waɗannan shirye-shiryen kuma ya gwada kansa tare da su, kuma, kuna yin hukunci da sakamako mara kyau, ya riga ya bincika.
Bari mu koma ga rukunin “marasa kyau”. Na farko wani abu ne kamar Wiki na gida a adireshin da ba daidai ba, amma a cikin wannan labarin bari ya zama wiki.company[.]ru. Nan da nan ta nemi login da kalmar sirri, amma ta hanyar NTLM a browser. Ga mai amfani, wannan yana kama da taga mai ban mamaki yana neman shigar da sunan mai amfani da kalmar wucewa. Kuma wannan mummunan aiki ne.
Karamin rubutu. NTLM a cikin shafukan yanar gizo mara kyau ne saboda dalilai da yawa. Dalili na farko shine an bayyana sunan yankin Active Directory. A cikin misalinmu, shi ma ya zama company.ru, kamar sunan "na waje" DNS. Sanin wannan, zaku iya shirya wani abu mai banƙyama a hankali don a kashe shi kawai akan injin yanki na ƙungiyar, kuma ba a cikin wasu akwatin yashi ba. Abu na biyu, tabbatarwa yana tafiya kai tsaye ta hanyar mai sarrafa yanki ta hanyar NTLM (mamaki, daidai?), Tare da duk fasalulluka na manufofin cibiyar sadarwar "na ciki", gami da toshe asusu daga wuce adadin ƙoƙarin shigar da kalmar wucewa. Idan maharin ya gano abubuwan shiga, zai nemo musu kalmomin shiga. Idan an saita ku don toshe asusu daga shigar da kalmomin shiga da ba daidai ba, zai yi aiki kuma za a toshe asusun. Na uku, ba shi yiwuwa a ƙara wani abu na biyu ga irin wannan tabbaci. Idan wani daga cikin masu karatu har yanzu ya san yadda, don Allah a sanar da ni, yana da ban sha'awa sosai. Na hudu, rashin lahani ga hare-haren wuce gona da iri. ADFS an ƙirƙira, a tsakanin sauran abubuwa, don kariya daga duk wannan.
Akwai mummunan dukiya guda ɗaya na samfuran Microsoft: ko da ba ku buga takamaiman irin wannan NTLM ba, za a shigar da shi ta tsohuwa a cikin OWA da Lync, aƙalla.
Af, marubucin wannan labarin ya taɓa toshe kusan asusu kusan 1000 na ma'aikatan babban banki guda ɗaya cikin sa'a guda ta hanyar amfani da wannan hanyar ba da gangan ba sannan ya ɗan yi duhu. Ayyukan IT na bankin su ma sun kasance kodadde, amma komai ya ƙare da kyau kuma daidai, an yaba mana da kasancewa farkon wanda ya sami wannan matsala kuma ya haifar da gyara mai sauri.
Shafin na biyu yana da adireshin "ba shakka wani nau'in sunan karshe.company.ru." An same shi ta hanyar Google, wani abu kamar wannan a shafi na 10. Zane ya kasance daga farkon tsakiyar XNUMXs, kuma mutum mai daraja yana kallonta daga babban shafi, wani abu kamar haka:
Anan na ɗauki har yanzu daga "Zuciyar Kare", amma ku yarda da ni, yana da kama da kamanni, har ma da ƙirar launi yana cikin sauti iri ɗaya. Bari a kira shafin preobrazhensky.company.ru.
Yanar gizo ce ta sirri ... don likitan urologist. Na yi mamakin abin da gidan yanar gizon urologist ke yi a kan yanki na babban kamfani na fasaha. Binciken da aka yi da sauri a cikin Google ya nuna cewa wannan likita ya kasance mai haɗin gwiwa na ɗaya daga cikin abokan cinikinmu na doka kuma har ma ya ba da gudummawar kimanin 1000 rubles a cikin babban birnin da aka ba da izini. Wataƙila an ƙirƙiri rukunin yanar gizon shekaru da yawa da suka gabata, kuma an yi amfani da albarkatun sabar abokin ciniki azaman masauki. Shafin ya dade yana rasa mahimmancinsa, amma saboda wasu dalilai an bar shi yana aiki na dogon lokaci.
Dangane da rashin lahani, gidan yanar gizon kanta yana da tsaro. Duban gaba, zan ce saitin bayanai ne masu sauƙi - shafukan html masu sauƙi tare da shigar da hotuna a cikin nau'i na koda da mafitsara. Ba shi da amfani don "karye" irin wannan rukunin yanar gizon.
Amma sabar gidan yanar gizon da ke ƙasa ya fi ban sha'awa. Yin la'akari da taken HTTP Server, yana da IIS 6.0, wanda ke nufin yana amfani da Windows 2003 azaman tsarin aiki. Na'urar daukar hotan takardu ta riga ta gano cewa wannan gidan yanar gizon likitan urologist, sabanin sauran runduna masu kama da juna akan sabar gidan yanar gizo daya, ya amsa umarnin PROPFIND, ma'ana yana gudana WebDAV. Af, na'urar daukar hotan takardu ta mayar da wannan bayanin tare da alamar Info (a cikin harshen rahotanni na na'urar daukar hotan takardu, wannan shine mafi ƙarancin haɗari) - irin waɗannan abubuwa yawanci ana tsallake su. A hade, wannan ya ba da sakamako mai ban sha'awa, wanda aka bayyana kawai bayan wani tono akan Google: ƙarancin ƙarancin buffer mai cike da rauni wanda ke da alaƙa da saitin Shadow Brokers, wato CVE-2017-7269, wanda ya riga ya yi amfani da shi. A takaice dai, za a sami matsala idan kuna da Windows 2003 kuma WebDAV yana gudana akan IIS. Ko da yake gudanar da Windows 2003 a samarwa a cikin 2018 matsala ce a kanta.
Amfanin ya ƙare a Metasploit kuma an gwada shi nan da nan tare da kaya wanda ya aika buƙatar DNS zuwa sabis mai sarrafawa - Burp Collaborator ana amfani da shi a al'ada don kama buƙatun DNS. Abin mamaki na, ya yi aiki a karo na farko: an karɓi ƙwanƙwasa DNS. Bayan haka, an yi ƙoƙarin ƙirƙirar haɗin baya ta hanyar tashar jiragen ruwa 80 (wato, haɗin yanar gizo daga uwar garken zuwa maharin, tare da samun damar cmd.exe akan mai masaukin wanda aka azabtar), amma sai fiasco ya faru. Haɗin bai zo ba, kuma bayan ƙoƙari na uku na yin amfani da shafin, tare da duk hotuna masu ban sha'awa, sun ɓace har abada.
Yawancin lokaci wannan yana biye da wasiƙar a cikin salon "abokin ciniki, tashi, mun jefar da komai." Amma an gaya mana cewa rukunin yanar gizon ba shi da alaƙa da hanyoyin kasuwanci kuma yana aiki a can ba tare da wani dalili ba, kamar duk uwar garken, kuma za mu iya amfani da wannan albarkatun yadda muke so.
Kusan kwana guda sai shafin ya fara aiki da kansa. Bayan gina benci daga WebDAV akan IIS 6.0, Na gano cewa saitunan tsoho shine sake kunna tsarin ma'aikatan IIS kowane awa 30. Wato lokacin da sarrafawa ya fita daga lambar shell, tsarin ma'aikacin IIS ya ƙare, sannan ya sake kunna kansa sau biyu sannan ya huta na tsawon sa'o'i 30.
Tunda haɗin baya zuwa tcp ya gaza a karon farko, na danganta wannan matsalar zuwa tashar tashar da aka rufe. Wato, ya ɗauka kasancewar wani nau'in tacewar zaɓi wanda baya barin haɗin da ke fita ya wuce waje. Na fara gudanar da lambobin shell waɗanda ke bincika ta hanyar tashar tcp da udp da yawa, babu wani tasiri. Juya haɗin haɗi ta hanyar http(s) daga Metasploit bai yi aiki ba - meterpreter/reverse_http(s). Nan da nan, an kafa haɗin kai zuwa wannan tashar jiragen ruwa 80, amma nan da nan ya fadi. Na dangana wannan ga aikin IPS na da har yanzu, wanda ba ya son zirga-zirgar meterpreter. Dangane da gaskiyar cewa haɗin tcp mai tsafta zuwa tashar jiragen ruwa 80 bai shiga ba, amma haɗin yanar gizon ya yi, na kammala cewa an saita wani wakili na http a cikin tsarin.
Na ma gwada meterpreter ta hanyar DNS (na gode don ƙoƙarin ku, ya ceci ayyuka da yawa), tuno nasarar farko, amma bai yi aiki a kan tsayawa ba - lambar harsashi ta yi yawa ga wannan rauni.
A hakikanin gaskiya, ya yi kama da haka: 3-4 ƙoƙari na hare-hare a cikin minti 5, sannan jira 30 hours. Da sauransu har tsawon makonni uku a jere. Har na kafa tunatarwa don kada in bata lokaci. Bugu da ƙari, an sami bambance-bambance a cikin halayen gwaji da yanayin samarwa: don wannan raunin akwai wasu fa'idodi guda biyu iri ɗaya, ɗaya daga Metasploit, na biyu daga Intanet, wanda aka canza daga sigar Shadow Brokers. Don haka, Metasploit ne kawai aka gwada a cikin fama, kuma na biyu kawai aka gwada akan benci, wanda ya sa gyara kuskuren ya fi wahala kuma ya kasance mai lalata kwakwalwa.
A ƙarshe, lambar ƙirar da ta zazzage fayil ɗin exe daga uwar garken da aka bayar ta hanyar http kuma ta ƙaddamar da shi akan tsarin da aka yi niyya ya tabbatar da tasiri. Lambar shell ɗin ta ɗan isa ta dace, amma aƙalla tana aiki. Tun da uwar garken ba ya son zirga-zirgar TCP kwata-kwata kuma an bincika http(s) don kasancewar ma'auni, na yanke shawarar cewa hanya mafi sauri ita ce zazzage fayil ɗin exe wanda ya ƙunshi DNS-meterpreter ta wannan lambar.
Anan kuma matsala ta taso: lokacin zazzage fayil ɗin exe kuma, kamar yadda yunƙurin ya nuna, komai wanne, an dakatar da zazzagewa. Bugu da ƙari, wasu na'urorin tsaro tsakanin sabar na da likitan urologist ba sa son zirga-zirgar http tare da exe a ciki. Maganin "sauri" ya zama kamar canza lambar shela ta yadda zai toshe zirga-zirgar http akan tashi, ta yadda za a canza bayanan binary a maimakon exe. A ƙarshe, harin ya yi nasara, an karɓi iko ta hanyar tashar DNS na bakin ciki:
Nan da nan ya bayyana a fili cewa ina da mafi mahimmancin haƙƙin aikin IIS, wanda ya ba ni damar yin komai. Wannan shine abin da yayi kama akan na'urar wasan bidiyo na Metasploit:
Duk hanyoyin da aka sata suna ba da shawarar cewa kana buƙatar ƙara haƙƙoƙin yayin samun dama. Yawancin lokaci ba na yin wannan a cikin gida, tun da ana ganin dama ta farko kawai azaman hanyar shiga cibiyar sadarwa, kuma yin sulhu da wata na'ura a kan hanyar sadarwa ɗaya yawanci yana da sauƙi da sauri fiye da haɓaka gata a kan mai masaukin baki. Amma a nan ba haka lamarin yake ba, tunda tashar DNS tana da kunkuntar sosai kuma ba za ta bari zirga-zirgar zirga-zirgar zirga-zirgar ta share ba.
Tsammanin cewa wannan Windows 2003 uwar garken ba a gyara shi ba don sanannen raunin MS17-010, Ina ramin zirga-zirga zuwa tashar jiragen ruwa 445/TCP ta hanyar ramin DNS mai ma'ana zuwa localhost (eh, wannan kuma yana yiwuwa) kuma kuyi ƙoƙarin gudanar da exe da aka sauke ta baya. da rauni. Harin yana aiki, Ina karɓar haɗi na biyu, amma tare da haƙƙin SYSTEM.
Yana da ban sha'awa cewa har yanzu suna ƙoƙarin kare uwar garken daga MS17-010 - yana da raunin sabis na cibiyar sadarwa mara ƙarfi akan ƙirar waje. Wannan yana ba da kariya daga hare-hare akan hanyar sadarwar, amma harin daga cikin gida ya yi aiki, tunda ba za ku iya kashe SMB da sauri a kan localhost ba.
Bayan haka, an bayyana sabbin bayanai masu ban sha'awa:
- Samun haƙƙin SYSTEM, zaku iya kafa haɗin baya cikin sauƙi ta hanyar TCP. Babu shakka, kashe TCP kai tsaye babbar matsala ce ga iyakancewar mai amfani da IIS. Mai ɓarna: zirga-zirgar mai amfani da IIS an nannade shi a cikin Wakilin ISA na gida a kowane kwatance. Yadda daidai yake aiki, ban sake bugawa ba.
- Ina cikin wani "DMZ" (kuma wannan ba yanki ne na Active Directory ba, amma WORKGROUP) - yana da ma'ana. Amma a maimakon adireshin IP na sirri ("launin toka") da ake tsammani, Ina da cikakken "farar" adireshin IP, daidai da wanda na kai hari a baya. Wannan yana nufin cewa kamfanin ya tsufa sosai a cikin duniyar IPv4 yana ba da damar kula da yankin DMZ don adiresoshin "fararen fata" 128 ba tare da NAT ba bisa ga tsarin, kamar yadda aka nuna a cikin littattafan Cisco daga 2005.
Tun da uwar garken ya tsufa, Mimikatz yana da tabbacin yin aiki kai tsaye daga ƙwaƙwalwar ajiya:
Ina samun kalmar sirrin mai gudanarwa na gida, zirga-zirgar ramin RDP akan TCP kuma shiga cikin tebur mai daɗi. Tun da zan iya yin duk abin da nake so tare da uwar garken, na cire riga-kafi kuma na gano cewa ana samun damar uwar garken daga Intanet ta hanyar tashar TCP 80 da 443 kawai, kuma 443 ba ya aiki. Na kafa uwar garken OpenVPN akan 443, ƙara ayyukan NAT don zirga-zirgar VPN na kuma samun damar kai tsaye zuwa cibiyar sadarwar DMZ a cikin tsari mara iyaka ta OpenVPN na. Abin lura ne cewa ISA, yana da wasu ayyuka na IPS marasa nakasa, sun toshe zirga-zirgar zirga-zirga tare da sikanin tashar jiragen ruwa, wanda dole ne a maye gurbinsa da RRAS mafi sauƙi kuma mai dacewa. Don haka ’yan ta’adda wani lokaci har yanzu suna gudanar da kowane irin abubuwa.
Mai karatu mai lura zai yi tambaya: “Me game da rukunin yanar gizo na biyu - wiki mai ingantaccen NTLM, wanda aka rubuta da yawa game da shi?” Karin bayani kan wannan daga baya.
Sashe na 2. Har yanzu ba a ɓoyewa ba? Sa'an nan kuma muna zuwa gare ku riga a nan
Don haka, akwai damar shiga sashin cibiyar sadarwar DMZ. Kuna buƙatar zuwa wurin mai gudanar da yanki. Abu na farko da ya zo a zuciya shi ne ta atomatik bincika amincin sabis a cikin sashin DMZ, musamman tunda yawancin su yanzu suna buɗe don bincike. Hoto na yau da kullun yayin gwajin shiga ciki: kewayen waje ya fi kariya fiye da sabis na ciki, kuma lokacin samun kowane damar shiga cikin manyan abubuwan more rayuwa, yana da sauƙin samun ƙarin haƙƙoƙi a cikin yanki kawai saboda gaskiyar cewa wannan yanki ya fara zama. samun damar yin amfani da kayan aiki, na biyu kuma, A cikin ababen more rayuwa tare da runduna dubu da yawa, koyaushe za a sami matsaloli biyu masu mahimmanci.
Ina cajin na'urorin daukar hoto ta DMZ ta hanyar rami na OpenVPN kuma jira. Na bude rahoton - kuma babu wani abu mai tsanani, a fili wani ya bi ta wannan hanya a gabana. Mataki na gaba shine bincika yadda masu watsa shirye-shirye a cikin hanyar sadarwar DMZ ke sadarwa. Don yin wannan, da farko ƙaddamar da Wireshark na yau da kullun kuma sauraron buƙatun watsa shirye-shirye, musamman ARP. An tattara fakitin ARP duk tsawon yini. Ya bayyana cewa ana amfani da ƙofofin da yawa a cikin wannan ɓangaren. Wannan zai zo da amfani daga baya. Ta hanyar haɗa bayanai kan buƙatun ARP da martani da bayanan binciken tashar jiragen ruwa, na sami wuraren fita na zirga-zirgar mai amfani daga cikin cibiyar sadarwar gida ban da waɗannan ayyukan da aka sani a baya, kamar yanar gizo da wasiku.
Tun da yake a halin yanzu ba ni da damar yin amfani da wasu tsarin kuma ba ni da asusun guda ɗaya don ayyukan kamfanoni, an yanke shawarar fitar da aƙalla wasu asusun daga zirga-zirga ta amfani da ARP Spoofing.
An ƙaddamar da Kayinu&Abel akan sabar likitan urologist. Yin la'akari da hanyoyin zirga-zirgar da aka gano, an zaɓi nau'i-nau'i masu ban sha'awa don harin mutum-in-tsakiyar, sannan an karɓi wasu zirga-zirgar hanyar sadarwa ta hanyar ƙaddamar da gajeren lokaci na mintuna 5-10, tare da mai ƙidayar lokaci don sake kunna sabar. idan akwai daskarewa. Kamar yadda a cikin barkwanci, akwai labarai guda biyu:
- Da kyau: an kama takardun shaida da yawa kuma harin gaba ɗaya yayi aiki.
- Mummunan: duk takaddun shaida sun fito ne daga abokan cinikin abokin ciniki. Yayin samar da sabis na tallafi, ƙwararrun abokin ciniki sun haɗa da sabis na abokan ciniki waɗanda ba koyaushe suna saita ɓoyayyen hanya ba.
A sakamakon haka, na sami takaddun shaida da yawa waɗanda ba su da amfani a cikin mahallin aikin, amma tabbas mai ban sha'awa a matsayin nuni na haɗarin harin. Masu amfani da kan iyaka na manyan kamfanoni tare da telnet, ƙaddamar da cire bugu na tashar http zuwa CRM na ciki tare da duk bayanai, samun damar kai tsaye zuwa RDP daga Windows XP akan hanyar sadarwa na gida da sauran ɓarna. Ya zama haka .
Na kuma sami damar ban dariya don tattara haruffa daga zirga-zirga, wani abu kamar wannan. Wannan misali ne na wasiƙar da aka shirya wacce ta tafi daga abokin cinikinmu zuwa tashar SMTP na abokin cinikinsa, kuma, ba tare da ɓoyewa ba. Wani Andrey ya nemi sunan sa don sake aika takaddun, kuma ana loda shi zuwa faifan girgije tare da shiga, kalmar sirri da hanyar haɗi a cikin wasiƙar amsawa ɗaya:
Wannan wata tunatarwa ce don ɓoye duk ayyukan. Ba a san wanda kuma yaushe zai karanta da amfani da bayananku musamman - mai bayarwa, mai kula da tsarin na wani kamfani, ko irin wannan pentester. Na yi shiru game da gaskiyar cewa mutane da yawa za su iya kutsa kai cikin zirga-zirgar da ba a ɓoye ba.
Duk da nasarar da aka samu, hakan bai sa mu kusanci manufa ba. Yana yiwuwa, ba shakka, zauna na dogon lokaci da fitar da bayanai masu mahimmanci, amma ba gaskiya ba ne cewa zai bayyana a can, kuma harin da kansa yana da haɗari sosai dangane da amincin cibiyar sadarwa.
Bayan wani tono cikin ayyukan, wani ra'ayi mai ban sha'awa ya zo a hankali. Akwai irin wannan kayan aiki da ake kira Responder (yana da sauƙi a sami misalan amfani da wannan sunan), wanda, ta hanyar buƙatun watsa shirye-shiryen "guba", yana haifar da haɗi ta hanyar ka'idoji iri-iri kamar SMB, HTTP, LDAP, da sauransu. ta hanyoyi daban-daban, sannan ya tambayi duk wanda ya haɗa don tantancewa kuma ya saita shi ta yadda za a iya tabbatarwa ta hanyar NTLM kuma a cikin yanayin bayyananne ga wanda aka azabtar. Mafi yawan lokuta, maharin yana tattara musafaha na NetNTLMv2 ta wannan hanyar kuma daga gare su, ta amfani da ƙamus, yana dawo da kalmomin shiga na yankin mai amfani da sauri. Anan ina son wani abu makamancin haka, amma masu amfani sun zauna “a bayan bango”, ko kuma a maimakon haka, bangon wuta ya raba su, kuma sun shiga WEB ta hanyar rukunin wakili na Blue Coat.
Ka tuna, na ayyana cewa sunan yankin Active Directory ya zo daidai da yankin “na waje”, wato company.ru? Don haka, Windows, mafi daidai Internet Explorer (da Edge da Chrome), ba da damar mai amfani don tabbatar da gaskiya a cikin HTTP ta hanyar NTLM idan sun yi la’akari da cewa rukunin yana cikin wasu “Yankin Intanet”. Ɗaya daga cikin alamun "Intranet" shine samun damar zuwa adireshin IP na "launin toka" ko gajeren sunan DNS, wato, ba tare da dige ba. Tun da suna da uwar garken tare da "farar" IP da sunan DNS preobrazhensky.company.ru, kuma injunan yanki yawanci suna karɓar yanki na Active Directory ta hanyar DHCP don sauƙaƙe shigarwar suna, kawai dole ne su rubuta URL a mashigin adireshin. , don su sami hanyar da ta dace zuwa uwar garken likitan urologist, ba tare da manta cewa yanzu ana kiran wannan "Intranet". Wato, a lokaci guda yana ba ni NTLM-hannun mai amfani ba tare da saninsa ba. Abin da ya rage shi ne tilasta masu binciken abokin ciniki suyi tunani game da buƙatar gaggawar tuntuɓar wannan uwar garken.
Babban mai amfani Intercepter-NG ya zo don ceto (na gode ). Ya ba ku damar canza zirga-zirga akan tashi kuma yayi aiki mai girma akan Windows 2003. Har ma yana da ayyuka daban-daban don gyara fayilolin JavaScript kawai a cikin zirga-zirgar zirga-zirga. An shirya wani nau'i mai girma na Rubutun Wurin Ketare.
Blue Coat proxies, ta inda masu amfani ke samun damar shiga WEB ta duniya, lokaci-lokaci tana ɓoye abubuwan da ke tsaye. Ta hanyar katse zirga-zirgar ababen hawa, ya bayyana a sarari cewa suna aiki dare da rana, ba tare da ɓata lokaci ba suna buƙatar faifan da ake amfani da su akai-akai don haɓaka nunin abun ciki a cikin sa'o'i mafi girma. Bugu da kari, BlueCoat yana da takamaiman mai amfani-Agent, wanda a fili ya bambanta shi daga ainihin mai amfani.
An shirya Javascript, wanda, ta amfani da Intercepter-NG, an aiwatar da shi na sa'a daya da dare don kowane amsa tare da fayilolin JS don Blue Coat. Rubutun ya yi kamar haka:
- Mai amfani-Agent ya ƙaddara mai bincike na yanzu. Idan ya kasance Internet Explorer, Edge ko Chrome, ya ci gaba da aiki.
- Na jira har sai an kafa DOM na shafin.
- Saka hoto marar ganuwa a cikin DOM tare da sifa src : 8080/NNNNNNN.png, inda NNN ke da lambobi na sabani don kada BlueCoat ya ɓoye shi.
- Saita canjin tutar duniya don nuna cewa an gama allurar kuma babu buƙatar ƙara hotuna.
Mai binciken ya yi ƙoƙarin loda wannan hoton; a tashar jiragen ruwa 8080 na uwar garken da aka lalata, wani rami na TCP yana jiran ta zuwa kwamfutar tafi-da-gidanka, inda mai amsawa ɗaya ke gudana, yana buƙatar mai binciken ya shiga ta NTLM.
Yin la'akari da rajistan ayyukan masu amsawa, mutane sun zo aiki da safe, sun kunna wuraren aikin su, sannan jama'a kuma ba a lura da su ba sun fara ziyartar uwar garken urologist, ba tare da mantawa da "zuba" NTLM ba. Hannun hannu sun yi ruwan sama duk rana kuma a sarari an tattara kayan don a fili nasarar harin maido da kalmomin shiga. Wannan shi ne yadda rajistan ayyukan Responder suka yi kama:
Ziyarar sirrin taro zuwa uwar garken urologist ta masu amfani
Wataƙila ka riga ka lura cewa an gina wannan labarin gabaɗayan bisa ka’idar “komai ya yi kyau, amma sai aka yi tagumi, sannan aka yi nasara, sannan komai ya yi nasara.” Don haka, akwai bummer a nan. A cikin musafaha guda hamsin na musamman, ba a bayyana ko ɗaya ba. Kuma wannan yana la'akari da cewa ko da a kwamfutar tafi-da-gidanka tare da matattun processor, ana sarrafa waɗannan musabaha na NTLMv2 a cikin saurin ƙoƙarin miliyoyin ɗari a cikin dakika.
Dole ne in yi amfani da dabarun maye gurbin kalmar sirri, katin bidiyo, ƙamus mai kauri sannan in jira. Bayan lokaci mai tsawo, an bayyana asusu da yawa masu kalmar sirri na nau'in "Q11111111 ....1111111q" wanda ke nuna cewa an tilasta wa duk masu amfani da su fito da wata kalmar sirri mai tsayi mai tsayi mai nau'i daban-daban, wanda kuma ya kamata a yi. zama hadaddun. Amma ba za ku iya yaudarar ƙwararren mai amfani ba, kuma wannan shine yadda ya sauƙaƙa wa kansa don tunawa. Gabaɗaya, an lalata kusan asusu 5, kuma ɗaya kawai daga cikinsu yana da wasu haƙƙoƙi masu mahimmanci ga ayyukan.
Sashe na 3. Roskomnadzor ya buge baya
Don haka, an karɓi asusun yanki na farko. Idan baku yi barci ba ta wannan lokacin daga dogon karatu, tabbas za ku tuna cewa na ambaci sabis ɗin da baya buƙatar fa'ida ta biyu na tabbatarwa: wiki ne tare da ingantaccen NTLM. Tabbas, abu na farko da za a yi shi ne shiga wurin. Yin tona cikin tushen ilimin na ciki da sauri ya kawo sakamako:
- Kamfanin yana da hanyar sadarwa ta WiFi tare da tantancewa ta amfani da asusun yanki tare da samun damar shiga cibiyar sadarwar gida. Tare da saitin bayanai na yanzu, wannan ya rigaya ya kasance mai aikin kai hari, amma kuna buƙatar zuwa ofishin tare da ƙafafunku kuma ku kasance a wani wuri a kan yankin ofishin abokin ciniki.
- Na sami umarni bisa ga abin da akwai sabis wanda ya ba da izinin ... don yin rajista da kansa na na'urar tantancewa ta "fasali na biyu" idan mai amfani yana cikin hanyar sadarwa na gida kuma da gaba gaɗi yana tunawa da shiga yankinsa da kalmar wucewa. A wannan yanayin, "ciki" da "waje" an ƙaddara ta hanyar samun damar tashar tashar wannan sabis ɗin ga mai amfani. Ba a samun damar tashar jiragen ruwa daga Intanet, amma ana iya samun dama ta hanyar DMZ.
Tabbas, nan da nan aka ƙara “factor na biyu” a cikin asusun da aka lalata ta hanyar aikace-aikace akan wayata. Akwai wani shiri wanda zai iya ko dai da ƙarfi ya aika buƙatar turawa zuwa wayar tare da maɓallan "amince"/"ƙi" don aikin, ko kuma a shiru ya nuna lambar OTP akan allon don ƙarin shigarwa mai zaman kanta. Bugu da ƙari, hanya ta farko ta hanyar umarnin ita ce kawai daidai, amma ba ta yi aiki ba, sabanin hanyar OTP.
Tare da “fasali na biyu” ya karye, na sami damar samun damar wasiƙar Samun Yanar Gizo ta Outlook da shiga nesa a Citrix Netscaler Gateway. Akwai abin mamaki a cikin wasiku a cikin Outlook:
A cikin wannan harbin da ba kasafai ba, zaku iya ganin yadda Roskomnadzor ke taimaka wa pentesters
Waɗannan su ne watanni na farko bayan sanannen toshewar "fan" na Telegram, lokacin da dukkanin cibiyoyin sadarwa tare da dubban adireshi suka ɓace daga samun damar shiga. Ya bayyana a fili dalilin da yasa tura ba ta aiki nan da nan kuma dalilin da yasa "wanda aka azabtar" na ba ya yi kararrawa saboda sun fara amfani da asusunta a lokacin budewa.
Duk wanda ya saba da Citrix Netscaler yana tunanin cewa yawanci ana aiwatar da shi ta hanyar da kawai za a iya isar da mu'amalar hoto ga mai amfani, ƙoƙarin kada ya ba shi kayan aikin don ƙaddamar da aikace-aikacen ɓangare na uku da canja wurin bayanai, iyakance ta kowace hanya mai yiwuwa ayyuka. ta hanyar daidaitattun harsashi masu sarrafawa. “Wanda aka azabtar” na, saboda aikinsa, kawai ya sami 1C:
Bayan tafiya a kusa da 1C dubawa kadan, na gano cewa akwai na'urorin sarrafa waje a can. Ana iya ɗora su daga mahaɗin, kuma za a kashe su a kan abokin ciniki ko uwar garken, dangane da haƙƙoƙi da saitunan.
Na tambayi abokaina na masu tsara shirye-shirye na 1C su ƙirƙira wani aiki wanda zai karɓi kirtani kuma a aiwatar da shi. A cikin harshen 1C, farawa tsari yana kama da wani abu kamar wannan (wanda aka ɗauka daga Intanet). Shin kun yarda cewa ma'anar harshe na 1C yana mamakin mutanen Rashanci da rashin jin daɗi?
An aiwatar da aikin yadda ya kamata; ya zama abin da masu fafutuka ke kira "harsashi" - Internet Explorer ta hanyarsa.
Tun da farko, an sami adireshin tsarin da ke ba ka damar yin odar izinin shiga yankin a cikin wasiƙar. Na ba da umarnin wucewa idan na yi amfani da vector harin WiFi.
Akwai magana akan Intanet cewa har yanzu akwai abinci mai daɗi kyauta a ofishin abokin ciniki, amma har yanzu na fi son haɓaka harin daga nesa, yana da nutsuwa.
An kunna AppLocker akan sabar aikace-aikacen da ke aiki da Citrix, amma an ƙetare shi. Haka Meterpreter aka loda aka kaddamar ta hanyar DNS, tunda nau'ikan http(s) ba sa son haɗi, kuma ban san adireshin wakili na ciki ba a lokacin. Af, daga wannan lokacin, pentest na waje da gaske ya juya ya zama na ciki.
Sashe na 4. Haƙƙin Admin ga masu amfani ba su da kyau, lafiya?
Aikin farko na pentester lokacin samun iko na zaman mai amfani da yanki shine tattara duk bayanai game da haƙƙoƙin yanki. Akwai mai amfani na BloodHound wanda ke ba ku damar sauke bayanai ta atomatik game da masu amfani, kwamfutoci, ƙungiyoyin tsaro ta hanyar ka'idar LDAP daga mai sarrafa yanki, da kuma ta hanyar SMB - bayani game da wanda mai amfani kwanan nan ya shiga inda kuma wanene mai gudanarwa na gida.
Dabarar da aka saba don ƙwace haƙƙin mai gudanar da yanki tana kama da sauƙaƙa a matsayin zagayowar ayyuka masu kama da juna:
- Muna zuwa kwamfutocin yanki inda akwai haƙƙin mai gudanarwa na gida, dangane da asusun yanki da aka riga aka kama.
- Muna ƙaddamar da Mimikatz kuma muna samun kalmomin shiga da aka ɓoye, tikitin Kerberos da hashes na asusun yanki na NTLM waɗanda kwanan nan suka shiga wannan tsarin. Ko kuma mu cire hoton ƙwaƙwalwar ajiyar tsarin lsass.exe kuma muna yin haka a gefenmu. Wannan yana aiki da kyau tare da Windows ƙasa da 2012R2/Windows 8.1 tare da saitunan tsoho.
- Mun ƙayyade inda asusun da aka lalata ke da haƙƙin mai gudanarwa na gida. Muna maimaita batu na farko. A wani mataki muna samun haƙƙin mai gudanarwa ga duk yankin.
"Ƙarshen Zagaye;", kamar yadda masu shirye-shiryen 1C za su rubuta a nan.
Don haka, mai amfani da mu ya zama mai gudanarwa na gida akan mai masaukin baki ɗaya kawai tare da Windows 7, sunan wanda ya haɗa da kalmar "VDI", ko "Infrastructure Desktop Virtual", injunan kama-da-wane. Wataƙila, mai tsara sabis na VDI yana nufin cewa tun da VDI shine tsarin aiki na sirri na mai amfani, ko da mai amfani ya canza yanayin software kamar yadda yake so, mai watsa shiri zai iya "sake saukewa". Na kuma yi tunanin cewa gaba ɗaya ra'ayin yana da kyau, na je wurin wannan mai masaukin baki na VDI na yi gida a can:
- Na shigar da abokin ciniki na OpenVPN a wurin, wanda ya yi rami ta Intanet zuwa sabar tawa. Dole ne a tilasta wa abokin ciniki ya bi ta Blue Coat tare da ingantaccen yanki, amma OpenVPN ya yi, kamar yadda suke faɗa, "daga cikin akwatin."
- An shigar da OpenSSH akan VDI. To, da gaske, menene Windows 7 ba tare da SSH ba?
Wannan shi ne abin da ya yi kama da kai tsaye. Bari in tunatar da ku cewa duk wannan dole ne a yi ta Citrix da 1C:
Wata dabara don haɓaka damar shiga kwamfutoci maƙwabta ita ce bincika kalmomin shiga na mai gudanarwa na gida don wasa. Nan da nan aka jira sa'a: NTLM hash na tsohon mai gudanarwa na gida (wanda ake kira Administrator ba zato ba tsammani) an tunkare shi ta hanyar kai hari ga rundunonin VDI makwabta, wanda akwai ɗari da yawa. Tabbas, nan take harin ya same su.
Wannan shine inda masu gudanar da VDI suka harbe kansu a ƙafa sau biyu:
- Lokaci na farko shine lokacin da ba a kawo injunan VDI a ƙarƙashin LAPS ba, da gaske suna riƙe kalmar sirrin mai gudanarwa iri ɗaya daga hoton da aka tura da yawa zuwa VDI.
- Tsohuwar mai gudanarwa ita ce kawai asusun gida wanda ke da rauni ga hare-haren wuce gona da iri. Ko da kalmar sirri iri ɗaya, zai yiwu a guje wa yin sulhu ta hanyar ƙirƙirar asusun mai gudanarwa na gida na biyu tare da hadadden kalmar sirri da kuma toshe tsohowar.
Me yasa sabis na SSH akan waccan Windows? Mai sauqi qwarai: yanzu uwar garken OpenSSH ba wai kawai tana ba da harsashi mai dacewa ba tare da tsangwama ga aikin mai amfani ba, har ma da wakili na socks5 akan VDI. Ta hanyar wannan safa, na haɗa ta hanyar SMB kuma na tattara asusun ajiyar kuɗi daga duk waɗannan ɗaruruwan na'urorin VDI, sannan na nemi hanyar zuwa ga mai gudanar da yanki ta amfani da su a cikin jadawali na BloodHound. Tare da ɗaruruwan runduna a hannuna, na sami wannan hanyar da sauri. An sami haƙƙin mai gudanar da yanki.
Ga hoto daga Intanet yana nuna irin wannan bincike. Haɗin kai yana nuna wanda yake inda mai gudanarwa yake kuma wanda ya shiga a ina.
Af, tuna da yanayin daga farkon aikin - "kada ku yi amfani da aikin injiniya na zamantakewa." Don haka, na ba da shawarar yin tunani game da nawa za a yanke duk wannan Bollywood tare da tasiri na musamman idan har yanzu yana yiwuwa a yi amfani da banal phishing. Amma da kaina, yana da ban sha'awa sosai a gare ni in yi duk wannan. Ina fatan kun ji daɗin karanta wannan. Tabbas, ba kowane aikin yayi kama da ban sha'awa ba, amma aikin gaba ɗaya yana da ƙalubale sosai kuma baya ƙyale shi ya tsaya cak.
Wataƙila wani zai sami tambaya: yadda za a kare kanka? Ko wannan labarin ya bayyana dabaru da yawa, waɗanda yawancin masu gudanar da Windows ba su ma sani ba. Koyaya, Ina ba da shawarar duba su ta fuskar ƙa'idodin da aka yi hackney da matakan tsaro na bayanai:
- kar a yi amfani da tsohuwar software (tuna Windows 2003 a farkon?)
- kar a kunna tsarin da ba dole ba (me yasa akwai gidan yanar gizon likitan urologist?)
- duba kalmar sirrin mai amfani don ƙarfin kanku (in ba haka ba sojoji... pentsters za su yi haka)
- Ba su da kalmar sirri iri ɗaya don asusu daban-daban (daidaitawar VDI)
- da sauran su
Tabbas, aiwatar da wannan yana da wuyar gaske, amma a cikin labarin na gaba za mu nuna a aikace cewa yana yiwuwa.
source: www.habr.com